freeuser.org

Indegnamente sentiamo parlare sempre più spesso di “hacker”. “Hacker ” che violano i sistemi informatici degli utenti per rubare carte di credito, “ hacker ” che attentano all’immagine (defaciare) di questo o quel sito, “ hacker ” che rilasciano malware/scareware/ransomware (anche mia madre sa di CryptoLocker) o peggio un più generico “VIRUS P3R1C0L0S1SS1M0” associato a chissà quale fantomatico “h4ck3r”. ( succederà sempre più spesso, do you know cybercrime or cyberwar? ndA) hacaro anni ‘9X: Immagine stereotipata classica di un hacker con potentissimo portatile dell’epoca con vista su LPT e PCMICIA (Spero solo che quello che si vede a SX non sia un connettore AT per tastiera da 5 pin). Al di là dei pessimi giornalisti, e del loro sensazionalismo a cui siamo oramai assuefatti nostro malgrado, le domande che, ipotizzo, l’ItalianoMedio(tm), un UberLoser qualsiasi o semplicemente io mi pongo tipicamente sono: UL — Perché? Perché fanno queste cose? Non potrebbero andare a lavora...

Un venerdì qualunque, oppure una domenica. Cosa cambia? Di fatto un giorno come tanti altri nelle nostre vite. La necessità di viaggiare per lavoro, la comodità di prenotare il viaggio in ogni sua parte, sprofondati nell'ozio del proprio divano casalingo. La destinazione la conosciamo già ma, al netto delle nostre competenze in geografia, una sbirciatina a Google Maps la diamo sempre prima di partire, anche solo per avere un'idea di quale possa essere il mezzo migliore per raggiungere la nostra meta. Accendiamo il nostro portatile (o afferriamo lo smart-coso di turno), accediamo a Google Maps e il browser ci suggerisce di consentirgli l'accesso alla nostra posizione. Ma come sul portatile c'è il GPS? No, o almeno non nel senso stretto del termine. Il wifi non serve solo per la connettività, la buona Google Car, oltre alle foto delle nostre strade, con Street View,  ha anche preso nota degli SSID delle wifi che incontrava sul suo cammino così che...

La Trusteer ha pubblicato un articolo sul funzionamento di Tatanga (trojan) che dimostra come questa minaccia sia in grado di aggirare i token chipTan  per frodare i conti online dei malcapitati, ad oggi quasi tutti Tedeschi. Tatanga controlla i dettagli utente, il numero del conto, la valuta corrente e i limiti di trasferimento, scegliendo con cura quale vittima di fatto garantisca il più alto trasferimento di denaro. Dopo di che inizia ad operare. Tecnicamente viene utilizzata un Web Inject per frodare l'utente facendo credere che la banca stia richiedendo un test chipTAN. Acquisite tutte le tuple necessarie si effettua il trasferimento. Niente di trascendentale , da un punto di vista tecnico è MITM con una spolveratina del sempre più comune Man In The Browser , mi tornano però alla mente due parole " Human Firewall ".

Premetto, amo WhatsApp, adoro il fatto che permetta di trasferire messaggi e brevi informazioni ad un costo equo (cioè quasi gratuitamente) rompendo le logiche delle telco che lucrano paurosamente su SMS ed affini (lucravano spero). Va ricordato, per la cronaca, che WhatsApp è un giocattolo capace di muovere 1 miliardo di messaggi al giorno , ma proprio per questa popolarità è giusto che, in quanto utenti, impariamo a porci alcune domande in merito alla sua affidabilità (questo vale anche per molte altre app a dire il vero). La prima, da buon paranoico è: Ma quant'è sicuro? Quanto è preservata la riservatezza dei messaggi che girano su quest'app?  Poco veramente poco . Distinguiamo ora due scenari di utilizzo: 1) Rete cellulare 2) Rete wifi Rete cellulare E' sicuramente l'approccio più comune per coloro che sono in mobilità. Avrete già intuito che WhatsApp non sia sicura come applicazione. Partendo da quest'assunto (che andremo a sviscerare) possiamo...

Per prima cosa, c'è da capire che ci sono molte specializzazione nella computer security. Puoi essere un esperto nell'hardening dei sistemi, o nel creare software non violabili. Puoi essere un esperto nel trovare problemi di sicurezza nei software, o nelle reti. Puoi essere un esperto di virus, o nel redigere policy, o nella crittografia.  Ci sono molte, molte opportunità per molte competenze diverse. Non devi essere uno sviluppatore per essere un esperto di sicurezza.   In generale, possiamo elencare tre azioni fondamentali da compiere per coloro che vogliono muovere i propri passi nella mondo della sicurezza: Studia . Lo studio può assumere molte forme. Può fare esercitazioni, seguire corsi universitari, oppure puoi partecipare a "delle" training conference come SANS o Offensive Security . ( Ci sono anche   degli ottimi starter kit ). Può cimentarti in letture a tema, ci sono   tanti ottimi libri sulla security in giro , o blog , focalizzati su...

Spesso quando si ha software datato installato in una macchina, la possibilità di effettuare con successo una disinstallazione è inversamente proporzionale all'età della macchina. Spesso le motivazioni sono meno "nobili", altrettanto spesso un mix delle due precedenti. Parliamo del maledetto Norton/Symantec Antivirus , per essere precisi di SAV 10.X e precedenti . Si, certo, maledetto , anche se ad essere onesti il mio è un odio atavico quindi poco motivato da fatti tecnici. Prima di giungere a NoNav, vi dico già che ho utilizzato tool ufficiali e quant'altro, provando anche una rimozione manuale che ovviamente non è andata a buon fine, per problemi ai link delle DLL di controllo delle macro di Office (un inferno). Spesso in installazioni legacy (per così dire) non si hanno nemmeno i privilegi per estirpare il maligno quindi che fare? STEP 1 :  Rimuovere la password che protegge la procedura di uninstall Premi il tasto Windows + R Lancia " regedit ...

Uno dei motivi per cui state leggendo quest'articolo probabilmente è per quel tarlo della navigazione anonima a cui non avete mai dato risposta certa.  Lungi da me essere l'oracolo di tale risposta ma in passato l'argomento è stato ampiamente trattato in queste pagine, dai cookie alla gestione degli LSO fino ad una breve degressione per non addetti ai lavoro del come e del cosa intendo/si intende per navigazione web anonima . Anche TOR è stato trattato di sfuggita. Qua e là s'è parlato di router con TOR integrato ed ho riportato un breve articolo comparso su di una *-Zine per avvocati . Mi riprometto, e questo articolo è solo l'inizio, di parlare approfonditamente di questo oggetto mistico (mistificato?) santo graal dell'anonimato sul web . Prima di cominciare una domanda,  volete farlo funzionare veramente ? Ciò che si crede erroneamente è che sia sufficiente utilizzare TOR per essere anonimi NIENTE DI PIU' SBAGLIATO . Come sempre è la ...

ENISA per i molti che non la conoscessero è l'agenzia europea per la sicurezza dell'informazione. Dico molti perché io stesso, pur essendo dentro determinati "ambienti", sono venuto a conoscenza della sua esistenza non meno di due anni fa. Ed è un vero peccato visto che lo scopo che si prefigge, nell'odierna società dell'informazione, è quello di fase security awareness (tra le tante cose) e lo fa anche discretamente bene. Eccone un bel esempio: Augurando buon 2011 a tutti i lettori, segnalo che ENISA ha pubblicato un interessante documento incentrato sull'e-commerce volto a rendere più informati sia i clienti sia i venditori, con attenzione ai principali schemi di frode e di protezione. Al lavoro ha contribuito, come già per il documento "ATM Crime", il socio @ Mediaservice.net. http://www.enisa.europa.eu/act/ar/deliverables/2010/how-to-shop-safely-online

Continua la saga della navigazione anonima sul web , questa volta invece di spigare un modo per aggirare i vari " controlli " voglio porre l'accento su di un framework che ha come scopo quello di rendere disponibili sotto lo stesso cappello molte delle tecniche di tracciamento che rendono meno anonimo (ma è un eufemismo) il nostro incedere sulla rete, il suo nome è tutto un programma evercookie . Niente di fantascientifico sotto la gonna per carità, ma sviluppare un'API che si pone come obiettivo quello di " rendere estremamente persistenti i cookie identificando i client anche dopo aver effettuato le normali procedure di pulizia del browser, LSO compresi " beh un pò mi inquieta (e dovrebbe avere lo stesso effetto su di voi). Ma come è possibile raggiungere tale obiettivo? Semplice, il cookie "ever" tenterà di installarsi in ogni angolo del vostro computer sfruttando tutte le tecniche ad oggi conosciute per lo storage di informazioni lato cl...

Spie, a memoria credo che sia la prima volta che ascolto una notizia del genere, ma forse sono troppo "piccolo" per ricordare di notizie di guerra fredda nei TG nostrani, ho seguito un pò di straforo la questione dei 10 arresti e delle vicende annesse spizzicando  qua e la e non ho potuto veramente fare a meno di trarne qualche spunto (dopo tutto si tratta di errori eccellenti): Crittografa la tua wifi Le spie a quanto traspare dai fatti, usavano connessioni wifi per comunicare. Molto intelligentemente, invece di utilizzare il medesimo access point effettuavano delle connessioni adHoc ( WIN ). Il grande pregio di una soluzione come questa è che esclude di fatto la possibilità di essere spiati tramite una infrastruttura di comunicazione che non si possa controllare (internet point, gestore, wisp) costringendo l'FBI a fare degli appostamenti nei pressi di caffè/bar/abitazioni e/o altri luoghi di incontro con i rappresentanti dell'ambasciata. Tuttavia nel ten...